安全研究人员报告了Visa卡非接触式支付中的新身份验证缺陷

 在Visa支付卡中发现了安全性,使攻击者可以执行一种新的攻击,分类为PIN绕过。这使他们能够操纵支付终端以接受来自非真实卡的卡交易。

来自苏黎世瑞士联邦理工学院(苏黎世联邦理工学院)的研究人员团队是第一个检测到此安全漏洞的人,该漏洞可能允许攻击者执行PIN旁路攻击并进行信用卡欺诈。

通常,使用非接触式卡支付商品和服务的金额是有限制的。当超过此限制时,终止卡将要求持卡人输入PIN进行验证。但是,正如分析人士所表明的那样,使用这种信用卡的罪犯可以利用该漏洞进行购买,而当密码数量超过限制时,他们无需使用PIN就可以购买。

 为了进行攻击,骗子需要支付卡详细信息。他们可以通过偷窃或通过各种方式获得来做到这一点。替代方法是使用流行的NFC略读选项来扫描附近的卡并复制其详细信息。

为了演示如何进行攻击,研究人员专门为此目的创建了概念验证应用程序。它用于修改支付终端的行为,这些支付终端旨在在将卡的支付结果发送到设备之前更改其响应。

一旦发动攻击,骗子就可以使用受害者的卡完成购买,并且可以通过修改称为“卡交易资格”的值来克服PIN少的限制。他们使用远程协议滥用连接,使支付终端可以克服PIN验证,并相信持卡人的身份已经得到验证。

研究人员在六个EMV非接触式协议之一上测试了PIN旁路攻击。但是,他们认为这也可以适用于发现协议和银联协议。

研究人员还发现了另一个基于Visa或旧万事达卡进行的离线非接触式交易的漏洞。在这种攻击中,骗子在将卡产生的数据(称为交易密码)修改后才传送到终端。由于在这种情况下,数据是由发卡机构即银行核实的,所以骗子拿着货物一直在风中。